目录

深信服AC结合第三方服务器AD域认证 1

一、第三方域认证设置 1

1.设置外部认证服务器 1

2.域用户认证设置 2

3.用户认证 3

二、集成windows身份验证 3

1.启用集成windows 身份验证功能 3

2.配置windows身份验证 3

3.修改认证策略 3

三、共享上网管理 3

深信服AC结合第三方服务器AD域认证

1.深信服AC和域之间同步认证；

2.启用windows集成登录达到用户使用域账户登录操作系统，上网无需再次登录账号操作。

一、第三方域认证设置

1.设置外部认证服务器

①在菜单中依次选择【用户与策略管理】---【用户认证】---【外部认证服务器】，然后选择新增，选择“LDAP服务器”

②选择LDAP服务器之后出现如下界面，根据要求填写相关信息

2.域用户认证设置

①在控制台选择【用户与策略管理】---【用户管理】---【组/用户】中点击“新增”建立AD域用户组，在这里命名为“LDAP用户组”

②设置LDAP自同步

AD域同步目前只支持Microsoft Active Directory。同步的方式分为两类：“按AD域组织结构同步”和“按AD域安全组同步”，两种工作模式不能同时使用，选择一种工作模式，点击提交即可完成配置。

按组织结构同步

“按AD域组织结构同步”这种工作模式是按照AD域中的组织单元OU及其结构导入的，点击“新增”按钮，选择“LDAP同步”后，根据需求设置。

注：同步工作模式：选择按照“AD域组织结构同步”还是按照“AD域安全组同步”。

启用自动同步：用于设置是否自动同步，启用后，设备会在选定的时间和域同步用户。如果禁用，设备不会自动同步域用户，只能手动同步。

LDAP服务器：用于选择需要同步得到域服务器。前面已经介绍过如何设置域认证服务器。

从以下远程目标同步：选择从AD域上的那个组织结构开始同步域用户。

导入OU的最大深度：用于设置导入OU的深度，从开始导入的OU算起，最多支持深度为15。

过滤参数：用于设置同步的过滤条件，根据域参数设置过滤条件。此处不填默认为不限制。

将远程目标导入到以下位置：用于设置此条域同步策略将域用户和组织结构同步到AC的哪个组，点击右边的下拉列表出现AC的组织结构，选择需要同步的的本地位置。

设置好策略，点击“提交”次策略设置保存成功，策略页面显示如下，点击“立即同步”，根据设置的策略立即同步。

按照AD域安全组同步

“按照AD域安全组同步”这种工作模式是按照AD域中的用户组group导入的，选择同步工作模式“按照安全组同步”后。

设置基本和“按AD域组织结构同步相同”，不同的是“从以下远程目标同步”选择的是LDAP服务器的group用户组，按照组导入。 另外域安全组没有级别和嵌套的概念，所以选择按照域安全组同步后，同步到AC组织结构的用户都会属于同一个组里。

3.用户认证

用户认证--认新建“认证策略|，选择”密码认证“，并把认证上来的用户添加到“LDAP用户组”

二、集成windows身份验证

配置集成windows 身份验证，启用成功后，内网用户登录到域并访问web 页面，即可登录到深信服设备。

1.启用集成windows 身份验证功能

登录sangfor 网关设备的控制台页面，点击左侧导航栏【用户与策略管理】---【用户认证】---【认证选项】 点击右侧“单点登录选项”AD 域；勾选“启用域单点登录”和“启用集成windows 身份验证”

2.配置windows身份验证

填写计算机名、域名、域DNS 服务器、域账号以及域账号密码；点击“测试有效性”，检测各个参数是否有效，测试通过之后点击“提交”；10s 之后会在右下方，弹出小喇叭并提示加入域成功。

3.修改认证策略

在控制台页面设置默认认证策略为“必须使用单点登录”，然后点击提交，配置完成。

三、共享上网管理

在AC中有一项共享上网管理，可以查测IP下是否有共享上网终端，对其冻终不能上网，

杜绝私接设备无线上网。